【摘要】：隨著硬件平臺(tái)和設(shè)備變得越來(lái)越多,操作系統(tǒng)作為硬件的管理者包含著龐大的源代碼。目前流行的單一內(nèi)核操作系統(tǒng),因內(nèi)核代碼龐大導(dǎo)致了漏洞增多,而隱含在內(nèi)核代碼中的漏洞一旦被攻擊者利用,攻擊者便能夠完全控制系統(tǒng)、使用硬件平臺(tái),甚至竊取用戶(hù)數(shù)據(jù)。在單一內(nèi)核操作系統(tǒng)內(nèi)核代碼中,設(shè)備驅(qū)動(dòng)代碼占了一大部分,驅(qū)動(dòng)代碼中的漏洞一旦被攻擊者利用,攻擊者將有能力破壞整個(gè)系統(tǒng);另外,系統(tǒng)調(diào)用是用戶(hù)利用內(nèi)核服務(wù)的主要手段,這些系統(tǒng)調(diào)用實(shí)現(xiàn)中的漏洞可能被攻擊者利用來(lái)破壞內(nèi)核。內(nèi)核代碼縮減是減少操作系統(tǒng)內(nèi)核漏洞的有效方法。因此,如何使操作系統(tǒng)內(nèi)核代碼更小,是保證系統(tǒng)安全的主要問(wèn)題�；谟脩�(hù)層設(shè)備驅(qū)動(dòng)的操作系統(tǒng)可信代碼基縮減框架,提出了減小操作系統(tǒng)內(nèi)核代碼方法,并對(duì)主流操作系統(tǒng)Linux的內(nèi)核代碼進(jìn)行有效的分離,減小了Linux內(nèi)核的可信計(jì)算基以及攻擊面。一方面,移除了內(nèi)核中占最大代碼量的設(shè)備驅(qū)動(dòng),并利用代理驅(qū)動(dòng)模型在用戶(hù)層運(yùn)行未修改的設(shè)備驅(qū)動(dòng)程序;另一方面,利用庫(kù)操作系統(tǒng)將操作系統(tǒng)的功能(如,文件系統(tǒng)、進(jìn)程管理等)在用戶(hù)層實(shí)現(xiàn),從而減小了內(nèi)核呈現(xiàn)給應(yīng)用程序的系統(tǒng)調(diào)用接口,縮減了內(nèi)核的攻擊面。通過(guò)以上兩方面的工作,能夠有效的減少內(nèi)核漏洞。最后,以基于PCI的e1000網(wǎng)卡驅(qū)動(dòng)為例,實(shí)現(xiàn)了網(wǎng)卡類(lèi)驅(qū)動(dòng)代碼的有效分離。系統(tǒng)測(cè)試結(jié)果表明,基于用戶(hù)層設(shè)備驅(qū)動(dòng)的操作系統(tǒng)可信代碼基縮減框架減小了81.7%的Linux系統(tǒng)調(diào)用接口,并開(kāi)發(fā)了代碼量為0.9K(代碼量是e1000的7.5%)的網(wǎng)卡類(lèi)代理驅(qū)動(dòng)。性能分析表明系統(tǒng)性能開(kāi)銷(xiāo)在可接受的范圍之內(nèi),UDP和TCP的基準(zhǔn)測(cè)試開(kāi)銷(xiāo)控制在25%以?xún)?nèi),系統(tǒng)綜合性能指標(biāo)大部分開(kāi)銷(xiāo)很小。
【學(xué)位授予單位】：華中科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類(lèi)號(hào)】：TP316

【參考文獻(xiàn)】

相關(guān)期刊論文 前2條

1 黃義文;;Linux操作系統(tǒng)內(nèi)核裁剪的分析[J];中國(guó)民航飛行學(xué)院學(xué)報(bào);2010年03期

2 嚴(yán)開(kāi)元;歐中紅;;一種LINUX系統(tǒng)下隔離設(shè)備驅(qū)動(dòng)故障的方法[J];計(jì)算機(jī)與數(shù)字工程;2008年11期

，

本文編號(hào)：2575360